Früh erkennen, gezielt steuern: Wie ein Risikomanagement die Unternehmensführung stärkt

PrintMailRate-it

​​​​​​​​​​​​​​​​​​veröffentlicht am 6. Oktober 2025 | Lesedauer ca. 5 Minuten 

 

​In einer zunehmend volatilen und komplexen Unternehmenswelt gewinnt das Risikomanagement strategisch an Bedeutung. Es geht dabei nicht nur um die Erfüllung spezifischer regulatorischer Anforderungen, sondern vor allem um die aktive Steuerung von Risiken und die Sicherung der Unternehmensentwicklung. Ein Risikomanage­ment­system (kurz: RMS) mit integrierter Früherkennung ist ein wesentliches Führungs­instrument, um Risiken frühzeitig zu identifizieren, realistisch zu bewerten und gezielt zu steuern. Unabhängig von der Unterneh­mens­größe ist strategisches Risikomana­gement ein zentraler Hebel zur Stärkung der Resilienz. Es lässt sich flexibel an die individuelle Struktur, Komplexität und Risikolage eines Unternehmens anpassen.



​Relevanz und Einordnung von Risikomanagementsystemen

​Stake- und Shareholder erwarten heute nicht nur Transparenz über die Risikosteuerung, sondern auch die Fähigkeit, Krisen wirksam zu bewältigen. Gleichzeitig führen Wachstum, Internationalisierung, neue Geschäftsmodelle aber auch externe Einflüsse zu einer höheren Risikoexposition. Neben klassischen finanziellen Risiken müssen auch nicht-finanzielle Risiken, wie bspw. ESG-Risiken, Lieferketten- sowie Reputationsrisiken, systematisch erfasst und gesteuert werden.

Ein wirksames RMS inkl. (Krisen-)Frühwarnfunktion ermöglicht es, potenzielle Risiken rechtzeitig zu erkennen und gezielte Gegenmaßnahmen einzuleiten. Voraussetzung dafür ist, dass Risiken systematisch erfasst, bewertet und kontinuierlich gesteuert werden.

Nur wer die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß seiner Risiken kennt, kann fundiert beurteilen, welche Risiken für das Unternehmen tragbar sind und ob frühzeitig Gegenmaßnahmen ergriffen werden müssen. Dies bildet die Grundlage für die Be-stimmung der Risikotragfähigkeit – also jener maximalen Verlusthöhe, die ein Unternehmen finanziell und strukturell verkraften kann, ohne seine wirtschaftliche Stabilität oder gar seine Existenz zu gefährden. Die Risikotragfähigkeit ist damit eine zentrale Steuerungsgröße für unternehmerische Entscheidungen und ein wesentlicher Baustein einer risikoorientierten Unternehmensführung. Dabei stellt eine integrierte Unternehmensplanung eine wesentliche Grundlage für eine belastbare Risikotragfähigkeitsbetrachtung dar. Erst durch die enge Verzahnung strategischer, operativer und finanzieller Planungsprozesse lassen sich realistische Aussagen über die wirtschaftliche Leistungsfähigkeit und die Fähigkeit zur Verlustaufnahme treffen.

Regulatorischer Hintergrund zur Krisenfrüherkennung


Bereits mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde für Aktiengesellschaften die Pflicht etabliert, fortbestandsgefährdende Risiken frühzeitig zu erkennen. Diese gesetzliche Anforderung wurde durch das Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) weiter konkretisiert und formal ausgeweitet: § 1 StaRUG verpflichtet nunmehr nicht nur Aktiengesellschaften, sondern insbesondere auch alle anderen haftungsbeschränkten Unternehmen zur Krisenfrüherkennung sowie zum Risikomanagement.

Zur weiteren fachlichen Konkretisierung hat das Institut der Wirtschaftsprüfer (IDW) einen Entwurf (IDW ES 16) eines IDW Standards zur Ausgestaltung der Krisenfrüherkennung und des Krisenmanagements nach § 1 StaRUG veröffentlicht, der die Anforderungen an die Krisen-früherkennung systematisch erläutert. Weitergehende Informationen dazu finden Sie hier.

Risikomanagementsystem als Steuerungsinstrument

Die Einbindung der (Krisen-)Frühwarnfunktion in ein RMS erlaubt, dass Risiken früher erkannt werden und damit mehr Handlungsoptionen zur Reduktion von Eintrittswahrscheinlichkeit und Schadenshöhe oder Nutzung von Chancen zur Verfügung stehen. Dies bildet die Grundlage für eine vorausschauende und resilienzorientierte Unternehmenssteuerung. Die Frühwarnfunktion ist integraler Bestandteil eines RMS, das sich regelmäßig durch einen systematischen Regelkreislauf auszeichnet: Risiken werden kontinuierlich identifiziert, bewertet, gesteuert und überwacht.

Die nachfolgende Grafik stellt den Regelkreislauf eines RMS dar:
 
 
​Abbildung 1: Bestandteile eines Risikomanagementsystems i.S.d. IDW PS 981, Tz. 31.

Damit dieser Regelkreislauf wirksam greifen kann, sollte das RMS nicht isoliert betrachtet, sondern als Baustein der übergeordneten Governance-, Risk- und Compliance-Struktur (GRC-Struktur) eines Unternehmens verstanden werden. In diesem Rahmen greifen das RMS, das Compliance-Management-System (CMS) und das interne Kontrollsystem (IKS) systematisch ineinander. Das CMS wirkt präventiv und zielt darauf ab, regulatorische und Compliance-Risiken – etwa Datenschutzverstöße, Korruptionsverdacht oder Verletzungen von Sorgfaltspflichten in der Lieferkette – beispielsweise durch Richtlinien, Verhaltenskodizes und Schulungsmaßnahmen frühzeitig zu vermeiden. Das RMS hingegen dient der Identifikation, Bewertung und Steuerung von Risiken, während das IKS durch operative Kontrollen sicherstellt, dass erkannte Risiken wirksam gemindert und Abweichungen frühzeitig erkannt werden. Die enge Verzahnung von RMS, CMS und IKS stellt sicher, dass Risiken nicht nur formal erfasst, sondern auch ganzheitlich und wirksam im Sinne einer verantwortungsvollen Unternehmensführung gesteuert werden.

Das Risikoinventar bildet dabei das Fundament eines Risikomanagementsystems. Es umfasst sämtliche relevanten Risikoarten – von finanziellen Risiken über Nachhaltigkeits- und Compliance-Risiken bis hin zu Reputationsrisiken. Die reine Identifikation von Risiken reicht jedoch nicht aus. Erst durch deren strukturierte Bewertung und Aggregation entsteht ein steuerbares Gesamtbild, welches als Entscheidungsgrundlage für das Management herangezogen werden kann.

Im Rahmen der Bewertung werden Einzelrisiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihres potenziellen Schadensausmaßes systematisch analysiert und eingeordnet. Dies schafft die Basis für die Risikoaggregation, die Beurteilung der Risikotragfähigkeit und die Ableitung gezielter Steuerungsmaßnahmen. Die Risikoaggregation unterscheidet sich grundle-gend von einer bloßen Addition einzelner Risiken. Durch die Aggregation lassen sich Wechselwirkungen und Kumulationseffekte erkennen, die bei isolierter Betrachtung einzelner Risiken verborgen bleiben. Auch scheinbar geringe Einzelrisiken können in Kombination eine bestandsgefährdende Wirkung entfalten. Die Aggregation kann dabei sowohl im Rahmen einer Brutto- als auch Nettobetrachtung (vor oder nach Gegenmaßnahmen) in Abhängigkeit von der jeweiligen Zielsetzung erfolgen.

Die Risikosteuerung umfasst alle Maßnahmen, die darauf abzielen, identifizierte Risiken gezielt zu beeinflussen – sei es durch Vermeidung, Verminderung, Übertragung oder bewusste Akzeptanz. Sie bildet die operative Umsetzung der Risikostrategie und sorgt dafür, dass Risiken im Einklang mit der Risikotragfähigkeit und den Unternehmenszielen stehen. Eine wirksame Risikosteuerung setzt jedoch voraus, dass Risiken nicht nur erkannt, sondern auch aktiv überwacht und regelmäßig neu bewertet werden. Durch eine kontinuierliche Überwachung und Anpassung wird sichergestellt, dass das System auch bei sich verändernden Rahmenbedingungen aktuell bleibt. 

Die nachfolgende Grafik verdeutlicht das Zusammenspiel zwischen den soeben beschriebenen Prozessschritten des RMS:


Handlungsempfehlungen

Ein RMS mit eingebundener (Krisen-)Frühwarnfunktion lässt sich flexibel an die Unternehmensgröße, Komplexität und Risikolage eines Unternehmens anpassen. Es entsteht durch einen strukturierten Aufbau entlang klar definierter Zielvorgaben. Die GAP-Analyse ist dabei ein zentrales Werkzeug, um die Lücke zwischen dem aktuellen Ist-Zustand und dem zuvor vom Management zu definierenden Zielbild (= Soll-Zustand) systematisch zu erkennen und gezielt zu schließen.

Die folgenden Schritte und Fragestellungen helfen dabei, eine GAP-Analyse durchzuführen und ein wirksames, strategisch eingebettetes RMS aufzubauen:

1. Zielbild definieren
Festlegung der künftigen Ausgestaltung des RMS:
  • Welche Risiken sollen systematisch erfasst und bewertet werden?
  • Wie soll das System in die strategische Planung und operative Steuerung eingebunden sein?
  • Wie sollen Frühwarnung, Bewertung, Aggregation und Tragfähigkeitsanalyse im Zusammenspiel wirken, um fundierte Entscheidungen zu ermöglichen?

2. Frühwarnindikatoren festlegen 
Identifikation relevanter interner und externer Signale, die frühzeitig auf Risiken hin-deuten:
  • Welche Kennzahlen oder Entwicklungen sind relevant?
  • Wie können diese systematisch und kontinuierlich überwacht werden?

3. Risiken erfassen und bewerten
  • Werden Risiken bereits in einem umfassenden Risikoinventar erfasst?
  • Wird dieses Inventar laufend gepflegt?
  • Werden Risiken einheitlich bewertet (z.B. mit einer Risikomatrix)?

4. Risikoaggregation und Tragfähigkeitsanalyse etablieren
  • Zusammenführung von Einzelrisiken, um Wechselwirkungen und Kumulationseffekte sichtbar zu machen.
  • Definition von finanziellen und operativen Belastungsgrenzen.
  • Regelmäßige Bewertung, welche Risiken das Unternehmen tragen kann – finanziell und operativ.

5. Verantwortlichkeiten und Prozesse definieren
  • Festlegung klarer Zuständigkeiten.
  • Definition von Schnittstellen zwischen RMS, CMS und IKS.
  • Etablieren geeigneter Reporting- und Kontrollprozesse, um eine abgestimmte und ganzheitliche Steuerung sicherzustellen.

6. GAP-Analyse durchführen und Umsetzung priorisieren
Vergleich von Ist-Zustand und definiertem Zielbild (Soll-Zustand):
  • ​​Welche Prozesse, Daten und Verantwortlichkeiten sind bereits vorhanden?
  • Wo bestehen Lücken oder blinde Flecken?
  • Welche Maßnahmen haben höchste Priorität?
  • Auswahl einer skalierbaren Lösung, die mit dem Unternehmen mitwachsen kann – von einfachen Tools bis zu integrierten Systemen. Einbezug smarter digitaler Lösungen, wo immer sinnvoll.

Fazit

​Ein Risikomanagementsystem mit eingebundener (Krisen-)Frühwarnfunktion ist weit mehr als die Erfüllung einzelner regulatorischer Anforderungen - sein eigentlicher Mehrwert liegt in der strategischen Steuerungsfunktion. Die Kombination aus Risikoinventar, Bewertung, Aggregation und Tragfähigkeitsanalyse schafft eine belastbare Grundlage für fundierte Entscheidungen – auch unter Unsicherheit. Wer Risikomanagement als strategisches Steuerungsinstrument versteht, fördert die unternehmerische Resilienz, Transparenz und Handlungsfähigkeit in einem zunehmend komplexen und dynamischen Umfeld. Die Skalierbarkeit erlaubt es, mit vertretbarem Aufwand ein hohes Maß an Wirkung zu erzielen – vorausgesetzt, es wird konsequent, ganzheitlich und strategisch gedacht.

Aus dem Newsletter



Kontakt

Contact Person Picture

Tanja Pesch

Prüfungsleiterin

Associate Partner

+49 221 949909 415

Anfrage senden

Contact Person Picture

Janine Kickler-Kreuz

Consultant

Manager, Manager

+49 221 9499 094 98

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu